Perché un singolo sistema legacy rappresenta un rischio per le aziende?
Emanuel Böminghaus, Esperto di Sistemi Legacy, Amministratore Delegato AvenDATA
Emanuel Böminghaus
Esperto di Sistemi Legacy,
Amministratore Delegato AvenDATA
Amministratore Delegato AvenDATA
In molte aziende oggi non esiste più una molteplicità di vecchie applicazioni, bensì soprattutto un singolo sistema legacy molto importante, che continua a funzionare da anni, sebbene non svolga più alcun ruolo nelle attività quotidiane. Proprio questo singolo sistema causa tuttavia costi sproporzionatamente elevati, mette a rischio la sicurezza IT e diventa un onere per la Compliance, la revisione contabile e l’esercizio. Le aziende spesso sottovalutano quanto un singolo sistema legacy possa frenare l’intera strategia IT.
Cosa contraddistingue un singolo sistema legacy
Un sistema legacy è un software che non viene più utilizzato attivamente, ma continua a contenere dati che devono essere conservati per motivi legali o aziendali. Può trattarsi di un ex sistema ERP, un precedente sistema HR o di payroll, uno storico sistema finanziario o un’applicazione sviluppata internamente il cui sviluppatore non è più in azienda da tempo. Spesso, dopo modernizzazioni o operazioni di carve out, rimane proprio uno di questi sistemi legacy, che non viene più manutenuto, ma non può nemmeno essere dismesso.
Perché un singolo sistema legacy rappresenta un rischio strategico
Il rischio centrale nasce spesso dal fatto che per questo sistema non esistono più aggiornamenti e quindi le falle di sicurezza critiche permangono in modo permanente. Un singolo sistema legacy può così diventare una porta di accesso per malware o accessi non autorizzati, in particolare se sono ancora attivi vecchi database, sistemi server obsoleti o interfacce non sicure. Il reparto IT perde inoltre tempo prezioso, poiché per l’assistenza di un sistema legacy sono spesso necessarie conoscenze specialistiche che non sono più presenti internamente. Non appena viene richiesta un’informazione alle autorità di controllo, emerge che nessuno sa più come viene utilizzato il sistema o quali strutture di dati esistono.
Anche dal punto di vista economico, perfino un singolo sistema legacy grava sull’azienda. I costi per server, backup, licenze, manutenzione, monitoraggio e supporto interno si sommano nel corso degli anni, sebbene il sistema non porti più alcun vantaggio produttivo. Molte aziende pagano costantemente importi a cinque cifre all’anno in questo ambito, semplicemente perché il sistema legacy continua a funzionare. A ciò si aggiunge la pressione della Compliance. I dati del sistema legacy devono rimanere consultabili in modo completo e a prova di revisione, in alcuni casi per oltre dieci anni o più. Se non sono più presenti conoscenze tecniche, nascono rischi legali che diventano visibili al più tardi durante una verifica fiscale.
Quali informazioni nel sistema legacy sono critiche
- dati contabili e transazionali di rilevanza fiscale
- dati del personale e di payroll da anni retributivi precedenti
- giustificativi, documenti e allegati
- audit trail, dati di log e protocolli rilevanti per il sistema
- documentazione commerciale soggetta ai termini di conservazione previsti dalla legge
Poiché questi dati sono spesso estesi e complessi, devono essere conservati in una forma che sia consultabile senza know how tecnico. Proprio questo spesso non è più garantito in un sistema legacy in esecuzione.
Come le aziende dovrebbero gestire un singolo sistema legacy
Il primo passaggio consiste nell’analizzare completamente il sistema legacy e stabilire quali dati sono contenuti, quali obblighi di legge sussistono e per quanto tempo le informazioni devono essere conservate. Sulla base di questa analisi è possibile decidere se è necessaria una migrazione o se un’archiviazione rappresenta la soluzione più sensata. Nella pratica emerge che un’archiviazione è quasi sempre più efficiente, poiché il sistema stesso può in seguito essere completamente dismesso.
Dopo la decisione inizia l’estrazione a prova di revisione dei dati. Questa deve garantire che tutte le tabelle, i documenti, le maschere e i dati transazionali vengano acquisiti in modo completo. Al contempo devono essere garantite leggibilità, funzioni di esportazione e protocollazione, in modo che anche ad anni di distanza un revisore o un curatore fallimentare possa tracciare quali dati erano contenuti all’epoca nel sistema legacy. Poiché dopo un’insolvenza di norma non è più presente personale in grado di utilizzare l’applicazione originale, questo passaggio è particolarmente importante.
I dati estratti vengono infine resi disponibili in un sistema di archivio a prova di revisione. Questo archivio consente diritti di accesso chiaramente definiti, protocollazione, ricerca, possibilità di esportazione e una conservazione a lungo termine e conforme alla legge. Solo quando questi requisiti sono soddisfatti, il sistema legacy originale può essere tecnicamente dismesso. Ciò comprende lo smantellamento dei server, la rimozione di vecchi backup, la disdetta di licenze nonché la documentazione della dismissione finale.
Perché proprio un singolo sistema legacy viene così spesso trascurato
In molte aziende il problema nasce perché il sistema si limita a “rimanere in esecuzione” e non ha più luogo alcun utilizzo attivo. Non c’è più un responsabile, nessuno sviluppo continuo e nessun controllo costante. Di conseguenza il sistema viene facilmente dimenticato, mentre al contempo continua a causare costi e rappresenta un rischio. Quanto più a lungo perdura questa situazione, tanto maggiore diventa il pericolo che dati importanti vadano perduti, che le verifiche falliscano o che aggressori sfruttino le vulnerabilità.
Un singolo sistema legacy non dovrebbe mai continuare a funzionare in background
Un singolo sistema legacy può causare notevoli rischi finanziari, legali e di sicurezza. Le aziende non dovrebbero semplicemente continuare a mantenere in esercizio i sistemi legacy, bensì analizzarli in modo strutturato, estrarli a prova di revisione e infine dismetterli completamente. Solo allora sono garantite sia la Compliance sia la sicurezza IT, e al contempo è possibile ridurre i costi in modo permanente.
Pianificate di archiviare un sistema legacy?
